L'amende concernait la procédure liée à l'activité d'une entreprise qui traitait les données des personnes concernées obtenues à partir de sources accessibles au public, notamment du registre électronique central et des informations sur l'activité économique, et traitait les données à des fins commerciales. L'autorité a vérifié le non-respect de l'obligation d'information concernant les personnes physiques exerçant une activité commerciale - les entrepreneurs qui exercent actuellement une telle activité ou l'ont suspendue, ainsi que les entrepreneurs qui ont exercé une telle activité dans le passé. Le responsable du traitement a rempli l'obligation d'information en fournissant les informations requises en vertu de l'art. 14 (1) - (3) du RGPD uniquement en ce qui concerne les personnes dont il disposait des adresses e-mail. Dans le cas des autres personnes, le responsable du traitement n'a pas respecté l'obligation d'information - comme il l'a expliqué au cours de la procédure - en raison de coûts de fonctionnement élevés. Par conséquent, il n'a présenté la clause d'information que sur son site Internet. Selon l'UODO, ce n'est pas suffisant. Addendum: Entre-temps, le tribunal a annulé l'amende en raison d'erreurs de procédure. Le montant de l'amende doit être déterminé par le nombre concret d'enregistrements de données concernés. Toutefois, le Bureau n’avait présenté aucun élément de preuve vérifiable à cet égard, mais avait simplement supposé qu’il s’agissait de 6 millions de séries de données, ce que le responsable du traitement avait nié. Par conséquent, des déclarations importantes manquaient. En particulier, il était erroné de justifier le montant de l'amende sur la base de considérations préventives générales. De l'art. 58 GDPR stipule expressément qu'une amende infligée doit être liée aux faits spécifiques de l'affaire. L'autorité polonaise de protection des données a déjà annoncé que l'amende serait révisée dans le cadre d'une nouvelle procédure administrative.